本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用條件索引鍵限制 Contributor Insights 使用者存取日誌群組
若要在 Contributor Insights 中建立規則並查看其結果,使用者必須擁有 cloudwatch:PutInsightRule 許可。根據預設,具有此許可的使用者可以建立 Contributor Insights 規則,以評估 CloudWatch Logs 中的任何日誌群組,然後查看結果。結果可能包含這些日誌群組的參與者資料。
您可以建立具有條件索引鍵的 IAM 政策,以授予使用者為某些記錄群組撰寫 Contributor Insights 規則的許可,同時防止他們為其他日誌群組撰寫規則和查看此資料。
如需 IAM 政策中的 Condition 元素的詳細資訊,請參閱 IAM JSON 政策元素:Condition。
僅允許存取特定日誌群組的寫入規則和檢視結果
下列政策允許使用者存取寫入規則,並檢視名為 AllowedLogGroup 的日誌群組和名稱開頭為 AllowedWildCard 的所有日誌群組的結果。它不會授予寫入規則或檢視任何其他日誌群組的規則結果的存取權。
- JSON
-
-
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowCertainLogGroups",
"Effect": "Allow",
"Action": "cloudwatch:PutInsightRule",
"Resource": "arn:aws:cloudwatch:*:*:insight-rule/*",
"Condition": {
"ForAllValues:StringEqualsIgnoreCase": {
"cloudwatch:requestInsightRuleLogGroups": [
"AllowedLogGroup",
"AllowedWildcard*"
]
}
}
}
]
}
拒絕特定日誌群組的寫入規則,但允許所有其他日誌群組的寫入規則
下列政策會明確拒絕使用者存取寫入規則,並檢視名為 ExplicitlyDeniedLogGroup 的日誌群組,但允許為所有其他日誌群組的寫入規則和檢視規則結果。
- JSON
-
-
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowInsightRulesOnLogGroupsByDefault",
"Effect": "Allow",
"Action": "cloudwatch:PutInsightRule",
"Resource": "arn:aws:cloudwatch:*:*:insight-rule/*"
},
{
"Sid": "ExplicitDenySomeLogGroups",
"Effect": "Deny",
"Action": "cloudwatch:PutInsightRule",
"Resource": "arn:aws:cloudwatch:*:*:insight-rule/*",
"Condition": {
"ForAllValues:StringEqualsIgnoreCase": {
"cloudwatch:requestInsightRuleLogGroups": [
"/test/alpine/ExplicitlyDeniedLogGroup"
]
}
}
}
]
}
